SOC 2とは:その内容、実施方法、実施する理由

2019年8月26日

Kasperskyでは、このほどSOC 2監査が無事終了しました。すでにユージン・カスペルスキー(Eugene Kaspersky)のブログおよび当社のプレスリリースにてご報告しましたが、今回のブログでは、SOC 2監査とは何か、当社がなぜこれを必要としたのか、詳しく説明します。

SOC 2とは何か

Service and Organization Controls 2(SOC 2)は、ITサービス企業における内部統制の監査です。実質的に、サイバーセキュリティのリスクマネジメント統制に関する報告書のグローバルスタンダードであり、米国公認会計士協会(American Institute of Certified Public Accountants:AICPA)が定めたTrustサービスの原則と基準(2018年3月に更新)に基づいて評価されます。

この記事で取り上げるSOC 2 Type 1(当社が完了したもの)は、単一のシステム内でセキュリティ統制メカニズムが効果的に確立されていることを保証するものです。第三者である監査人が来社して当社のリスクマネジメントシステムを調査し、どのような業務が実施されているか、定められた手続きにどれほど忠実に従っているか、プロセスにおける変更をどのように記録しているかについて確認を行いました。

監査を実施する理由

何らかのサービスを提供する企業はどれも、顧客に脅威をもたらす可能性を持っています。まったく正当な企業であっても、サプライチェーンの一部として攻撃に利用されてしまう可能性は否定できません。しかし、情報セキュリティの分野で事業を行う企業には、さらに重い責任があります。というのも、セキュリティ関連の製品には、顧客の情報システムに対して最高レベルのアクセス権限が必要とされるためです。

したがって、顧客(特に大企業)は、至極まっとうな疑問を抱くかもしれません。こうしたサービスをどこまで信じて良いのか?利用しているサービスに対してどのような社内規定があるのか?このような製品や付随するサービスを利用して、誰かが自社に害を与えるようなことはないだろうか?

ここが難しいところです。こうした問いに対して、サービス提供企業からの回答は大して意味をなしません。当社であれ他社であれ、もっともらしい回答ができるのですから。このため、当社は外部監査人に意見を求めることにしました。お客様やパートナー各社に、当社の製品およびサービスが信頼に足ると確信を持っていただくことは、当社にとって重要事項です。当社はまた、当社の内部プロセスが国際的な基準および最良の慣行に適合していることも重要だと考えています。

監査内容

いつでも最大の懸念であるのは、顧客のコンピューターへの情報配信のメカニズムです。当社のソリューションはさまざまな市場分野や業界で採用されていますが、ソリューションのほとんどが、サイバー脅威の兆候がないかどうかオブジェクトをスキャンする主要な防御技術として、アンチウイルスエンジンを使用しています。アンチウイルスエンジンは超高速のハッシュ、分離された環境でのエミュレーション、変異に適応できる機械学習の数理モデルを使用しており、これらすべてが最新のサイバー脅威に対して効力を発揮するためには、アンチウイルス定義データベースの定期的なアップデートが必要となります。

これら定義データベースを管理するためのシステム、そしてWindowsサーバーおよびUnixサーバー向けアンチウイルス製品の定義データベースアップデートの完全性と真正性を監視するための手段は、独立した複数の監査人による調査を受けました。調査では、当社の統制手段が正しく機能していること、また、定義データベースの開発およびリリースのプロセスに不正な改竄が加えられる可能性について検査が行われました。

監査方法

監査人は、ベンダーのプロセスがセキュリティの5要素それぞれに適合しているかの確認を行います。

  • セキュリティ(不正アクセスに対して保護されているか)
  • 可用性(プロセスが全般的に機能しているか)
  • 処理のインテグリティ(顧客へ配信されたデータの安全性が確保されているか)
  • 機密保持(データに第三者がアクセスできる状態になっていないか)
  • プライバシー(個人情報が企業側に保管されているか、保管されているならばその保管手段はどうなっているか)

当社の監査における確認事項

  • 当社サービスが提供するものは何か
  • 当社システムが顧客および潜在的パートナーとどのようにやりとりするか
  • プロセス統制がどのように実装されているか、どのような制約があるか
  • 利用者にはどのような統制手段があるか、利用者は当社の統制手段とどのように関わり合っているか
  • 当社のサービスが直面するリスクは何か、これらリスクを軽減する統制手段はどのようなものか

上記を把握するにおいて、当社の組織構造、各種メカニズム、そして社員が監査の対象となりました。社員を雇用する際に当社が行う身元調査の方法も対象になりました。セキュリティ要件の変更を行う際の手続きが分析され、定義データベースのアップデートの自動配信に使用するメカニズムのソースコードが調査され、また、このコードに対する不正変更が加えられるのはどのような場合であるかの確認も行われました。このほかにも多くの調査が実施されています。監査の詳細については、報告書全文をご覧ください。報告書全文の入手方法は、この記事の終わりにご説明しています。

監査実施機関と報告書の入手先

監査は4大監査法人の1社によって実施されました。社名については公表していませんが、これは監査に関わった企業の名前については言及しないという慣習によるものであり、報告書には当然ながら署名が付されています。

最終的に、当社の定義データベースの開発とリリースのプロセスは不正アクセスによる変更に対して十分に保護されていると結論づけられました。結論の詳細、調査プロセスの説明、その他詳細については、報告書の全文をご参照ください。報告書全文は、こちらのページ(英語)からご覧になれます(報告書閲覧には登録が必要になります)。